Comments 54
Рассуждать можно сколько угодно, докажите это всё регулятору при проведении проверки. Столько нервов и сил потратите, что легче согласиться и написать на пару-тройку документов больше. Сталкивался ни раз. Ни логика ни ссылки на нормативку не помогает ))
Это всё тоже теория. Если придётся доказывать свою правоту в суде, вот там сразу станет видно, как именно участники разбирательства трактуют упомянутый закон. Он настолько расплывчат, что поди докажи, если чиновник «с той стороны» считает иначе.
К слову, я делал официальный запрос в РКН о том, что и как считать персональными данными, что делать в случае использования сторонних сервисов обработки вида Google Forms, Disqus и т.д. — так вот, в официальном ответе от РКН (храню присланный ими скан заверенного печатью ответа, при необходимости покажу) сказано: мы-де не уполномочены трактовать закон, обращайтесь вСпортлото Минкомсвязи.
Так что самостоятельно трактовать закон можно сколько угодно, пока вас не станут проверять компетентные органы.
К слову, я делал официальный запрос в РКН о том, что и как считать персональными данными, что делать в случае использования сторонних сервисов обработки вида Google Forms, Disqus и т.д. — так вот, в официальном ответе от РКН (храню присланный ими скан заверенного печатью ответа, при необходимости покажу) сказано: мы-де не уполномочены трактовать закон, обращайтесь в
Так что самостоятельно трактовать закон можно сколько угодно, пока вас не станут проверять компетентные органы.
Персональные данные — это любые сведения о физическом лице
1. Рассуждения упускают момент, что возможность определения лица зависит от возможностей атакующего
2. Роскомнадзор не имеет права комментировать закон. Поэтому все эти цитаты — личные мнения. В случае чего на это опираться нельзя. Увы. Помнится один раз пересекся с депутатом госдумы, так он аж подскочил от сведений, что какой-то роскомнадзор комментирует законы
Другими словами пока мистер «Х» вам не известен вы можете хранить о нем данные без нарушений.
Чего? Чистое нарушение закона
Запрос имени совместно с номером телефона или email пользователя также не делает данные персональными
Вспоминаем, что персональные данные или нет — зависит от атакующего
Аналогичным образом не относятся к ПДн сведения об IP
В Европе — относятся
Дальше комментировать не стал
1. Рассуждения упускают момент, что возможность определения лица зависит от возможностей атакующего
На первом курсе юрфака учат, что норма устанавливает права и обязанности сторон, участвующих определенных отношениях.
По ФЗ 152 обязанным может быть только лицо, обрабатывающее персональные данные. Поэтому и то, являются ли данные «персональными» определяется не с позиции «атакующего», как вы выразились, а с точки зрения лица, которое их обрабатывает.
Если последнее не может идентифицировать физ лицо на основе обрабатываемых данных, то они и не считаются для него «персональными». Следовательно, нет обязанности по ФЗ 152.
Мало ли что другое лицо может узнав номер телефона сразу определить, что им пользуется Иванов Иван Иванович.
В Европе — относятся
Мы про российский закон говорим или вообще?
Дальше комментировать не стал
И правильно. Учите мат. часть.
Вопрос о том что есть, а что нет персональные данные — достаточны они или нет — спорный. Оператор может посчитать что недостаточно и не являются персональными, а проверяющий, что достаточно и персональные. Типичный пример — имя. В общем имя — не ПДн, но если родители крайние оригиналы имя редчайшее, то оно идентифицировать будет точно. Аналогично и айпишник. Статический айпишник в сочетании с ФИО даст возможность идентифицировать точно
Основная проблема закона — решать что есть ПДн, а что нет — будете не вы, а проверяющая организация.
Основная проблема закона — решать что есть ПДн, а что нет — будете не вы, а проверяющая организация.
Разумеется, не я. Статья дает повод задуматься, что не все так прямолинейно и однозначно, как это подается лобби от бизнеса информационной безопасности.
Лобби. я бы не сказал что оно есть. Безграмотность законописателей пиарящих горячие темы, безденежье регуляторов, которые не имеют возможности написать подзаконные акты чуть не десятилетиями и нежелание пользователей (скажем так) читать законы, подзаконные акты и документы регуляторов.
Если бы было лобби, то его представители давали бы думцам своих экспертов для написания документов. Вон закон яровой — все — от регуляторов до правительства пытаются год от него отвертеться. 152-ФЗ приняли, поскольку мы тогда по моему в совет европы вошли. Число проверок копеешное по отношению к числу компаний. Запросов от боящихся его как бы года два нету в товарных количествах
Бардак к наличии. Бессмысленный и беспощадный
Если бы было лобби, то его представители давали бы думцам своих экспертов для написания документов. Вон закон яровой — все — от регуляторов до правительства пытаются год от него отвертеться. 152-ФЗ приняли, поскольку мы тогда по моему в совет европы вошли. Число проверок копеешное по отношению к числу компаний. Запросов от боящихся его как бы года два нету в товарных количествах
Бардак к наличии. Бессмысленный и беспощадный
Был у меня комичный опыт еще в 2008. На семинаре по 152 ФЗ сидели бок о бок представитель РКН и куратор по информационной безопасности. РКН гнул линию, что далеко не всякая обработка выполняется с использованием средств автоматизации. На что куратор чуть его не локтем толкал, мол ты что, родной, всех мимо кассы отправляешь?
Ну ясен пень, что желание заработать на наличии закона никто не отменял. Бизнес и ничего личного. Маркетинговых материалов, описывающих пользователям, как выполнять тот или иной закон именно с их ПО/железом/помощью — вагон и немаленькая тележка.
Почему я и говорю всегда — чтение нормативки и документации лично — это рулез
Почему я и говорю всегда — чтение нормативки и документации лично — это рулез
"… персональными данными являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна."
Ничего подобного. Любая информация, которая может быть использована при идентификации и отнесена к конкретному лицу — ПД. Закон как раз не требует, чтобы ПД относились к прямо определенному лицу, они могут относиться и к «определяемому», т.е. такому, идентификаиця которого не произведена, а только может быть произведена. О том же самом — и в Конвенции.
Смотрите комментарий выше. Если у обязанного лица нет возможности прямо или косвенно определить физ. лицо на основании обрабатываемых данных, то такие данные не считаются «персональными» со всеми вытекающими последствиями.
Компетентные органы могут по IP определить абонента, который написал данный пост, а вы не можете. Поэтому для компетентных органов — это персональные данные, а для вас нет. В результате закон не может возлагать на вас обязанность получать у меня согласие на обработку IP и хранить его в тайне.
Компетентные органы могут по IP определить абонента, который написал данный пост, а вы не можете. Поэтому для компетентных органов — это персональные данные, а для вас нет. В результате закон не может возлагать на вас обязанность получать у меня согласие на обработку IP и хранить его в тайне.
Если честно, то, на мой дилетантский взгляд, в законе не раскрыто определение «идентификация физического лица», что позволяет трактовать «персональные данные» в очень широком диапазоне.
Пару лет назад, когда мы создавали небольшую адресную книгу нашей компании, доступную только для сотрудников, в ней указывались следующие данные: фамилия, имя и личный мобильный телефон. Этих данных вполне достаточно для идентификации пользователя или сотрудника, в том числе любому другому лицу. Со своей стороны попросил наш отдел кадров собрать заявления о том, что сотрудники не возражают о том, что их данные будут размещены на портале. При приёме на работу подобные заявления не предоставлялись на подпись. Один рьяный защитник пытался доказать, что ничего не будет и это не является ПД, но подтвердить статьями законов или судебной практикой он не смог. Портал создали, но с оговоркой, что все проблемы с законом, если возникнут, целиком и полностью лежат на отделе кадров. Криков было много… :)
ИМХО, имени, фамилии и телефонного номера, зачастую достаточно для точной идентификации человека в интернете и жизни. Всё делается по запросам к открытым источникам. Буквально сегодня, имея в распоряжении только дату рождения, имя и фамилию, разыскал телефонный номер, адрес постоянного пребывания человека и помог вернуть документы. Но это, повторюсь, исключительно ИМХО, так как закон не предлагает нам чёткого определения того, что считать персональными данными, а также требуемую их полноту.
Пару лет назад, когда мы создавали небольшую адресную книгу нашей компании, доступную только для сотрудников, в ней указывались следующие данные: фамилия, имя и личный мобильный телефон. Этих данных вполне достаточно для идентификации пользователя или сотрудника, в том числе любому другому лицу. Со своей стороны попросил наш отдел кадров собрать заявления о том, что сотрудники не возражают о том, что их данные будут размещены на портале. При приёме на работу подобные заявления не предоставлялись на подпись. Один рьяный защитник пытался доказать, что ничего не будет и это не является ПД, но подтвердить статьями законов или судебной практикой он не смог. Портал создали, но с оговоркой, что все проблемы с законом, если возникнут, целиком и полностью лежат на отделе кадров. Криков было много… :)
ИМХО, имени, фамилии и телефонного номера, зачастую достаточно для точной идентификации человека в интернете и жизни. Всё делается по запросам к открытым источникам. Буквально сегодня, имея в распоряжении только дату рождения, имя и фамилию, разыскал телефонный номер, адрес постоянного пребывания человека и помог вернуть документы. Но это, повторюсь, исключительно ИМХО, так как закон не предлагает нам чёткого определения того, что считать персональными данными, а также требуемую их полноту.
Пару лет назад, когда мы создавали небольшую адресную книгу нашей компании, доступную только для сотрудников, в ней указывались следующие данные: фамилия, имя и личный мобильный телефон. Этих данных вполне достаточно для идентификации пользователя или сотрудника, в том числе любому другому лицу.
В вашем конкретном случае указанные в справочнике данные, безусловно, относятся к персональным, поскольку работодатель знает кому они принадлежат. Квалифицировать данные нужно всегда с точки зрения лица, которое их обрабатывает.
Квалифицировать данные нужно всегда с точки зрения лица, которое их обрабатывает.
Не могу с Вами согласиться, так как квалифицировать надо по закону, а он не даёт этого определения.
Исходя из Вашего толкования, иногда даже ник человека может его точно идентифицировать. Необходимо ли и на это оформлять бумажку? :)
«Если у обязанного лица нет возможности прямо или косвенно определить физ. лицо на основании обрабатываемых данных, то такие данные не считаются «персональными» со всеми вытекающими последствиями.»
Каким образом это отражено в законе?
Каким образом это отражено в законе?
См. определение персональных данных.
Да, я уже понял, что ответить на этот вопрос вам будет нечего.
Не понял выпад. Ответ на ваш вопрос дан в определении ПДн. Если данные не соответствуют требованиям к ПДн с позиции лица, которое их обрабатывает, то для него такие данные не ПДн. Например, ПДн были обезличены оператором и переданы в обезличенном виде для обработки третьему лицу. Такое лицо не может установить субъекта ПДн по обезличенным данным. Поэтому на него по определению не распространяется ФЗ 152.
Критерий ПД — он только один — можно или нельзя отнести данные к конкретному человеку. Кто является «лицом, которое их обрабатывает» — в определении не отражено никак. Обезличивание — это как раз действие, которое приводит к тому, что данные отнести к лицу становится нельзя, но даже и в его определении нет никакого «лица» и его «позиции». Поэтому если оператор «обезличил» данные так, что сам может установить по ним личность — данные не являются обезличенными, даже в том случае, когда «третье лицо» этого сделать не может. И у третьего лица все равно в полный рост наступают все требования 152-ФЗ.
С такой позиции любые данные о физ лице являются персональными, вам не кажется?
Я в этом уверен.
Вы не правы. Это делает невыполнимым требования ФЗ 152.
О, наконец-то вы поняли. Вообще весь разговор про выполнимость закона надо начинать с того, что он основан на конвенции 1980 какого-то там года, когда компьютеры были большими. Все те принципы, которые в нем сформулированы — они оттуда, из восьмидесятых. Сейчас, когда данные передаются по сетям и кешируются на неизвестном количестве компьютеров, выполнить то же удаление ПД, будет, мягко говоря, трудно. Как и кучу других требований.
Хотя многие «требования ФЗ» на законе не основаны, а выдуманы мудрецами из РКН. Начиная с требования регулировать законом вообще любое упоминание персданных. Именно с этого, кстати, стоило начать статью: с первой статьи ФЗ с описанием сферы его действия и вопроса о том, что такое «автоматизированная обработка».
Хотя многие «требования ФЗ» на законе не основаны, а выдуманы мудрецами из РКН. Начиная с требования регулировать законом вообще любое упоминание персданных. Именно с этого, кстати, стоило начать статью: с первой статьи ФЗ с описанием сферы его действия и вопроса о том, что такое «автоматизированная обработка».
Пошел разговор «за жизнь». Все право строится на определенных допущениях, которые называются «правовые конструкции». Иногда они далеки от описываемой реальности, но ответственность за их нарушение вполне реальная. Ваш предыдущий аргумент, что все данные о физ лице суть персональные не верен хотя бы потому, что в законе упомянуты также обезличенные данные. Они тоже относятся к физ лицу, но установить его не представляется возможным.
Пошел разговор «за жизнь». Все право строится на определенных допущениях, которые называются «правовые конструкции». Иногда они далеки от описываемой реальности, но ответственность за их нарушение вполне реальная. Ваш предыдущий аргумент, что все данные о физ лице суть персональные не верен хотя бы потому, что в законе упомянуты также обезличенные данные. Они тоже относятся к физ лицу, но установить его не представляется возможным.
> Ответ на ваш вопрос дан в определении ПДн.
Читаем ФЗ 152, статья 3, пункт 1:
Поясните, пожалуйста, где тут ссылка на лицо, которое их обрабатывает.
Все приседания из-за того, что нет чёткого определения. Сетевой псевдоним — персональные данные? IP адрес сам по себе? Адрес email? Сочетание всех трёх, указанных выше?
Повторюсь, сами вы можете трактовать как хотите. Вопрос в том, что, когда вас возьмут за жабры компетентные органы, будут ли они трактовать ровно так же, и сумеете ли вы в суде отстоять именно свою трактовку.
Читаем ФЗ 152, статья 3, пункт 1:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Поясните, пожалуйста, где тут ссылка на лицо, которое их обрабатывает.
Все приседания из-за того, что нет чёткого определения. Сетевой псевдоним — персональные данные? IP адрес сам по себе? Адрес email? Сочетание всех трёх, указанных выше?
Повторюсь, сами вы можете трактовать как хотите. Вопрос в том, что, когда вас возьмут за жабры компетентные органы, будут ли они трактовать ровно так же, и сумеете ли вы в суде отстоять именно свою трактовку.
Я купил два телефонных номера. Один отдал супруге/подруге/маме/etc. Кто то из них оставил его на сайте с именем и фамилией. ОПСОС идентифицирует меня, а не Екатерину Васильевну, которая по факту и оставила данные на сайте. По вашему это перс данные, а по факту…
1. Как быстро в статье ушли от определения информации, относящейся к физлицу к термину идентификация физлица. Конечно, по емейл лицо не идентифицируешь, а по электронному адресу ivanov.petr@company.ru вполне определяется кто это. И в момент запроса емейла еще неизвестно, будет он (адрес емейл) подходить под ПД или нет, а после — его хранение без согласия будет нарушением.
2. Почему соцсети и сайты поиска работы вы отнесли к источикам общедоступных сведений? Вряд ли в их соглашениях с пользователем есть пункт о том, что после публикации имени и телефона кто угодно в мире имеет право воспользоваться ими для любых целей. Вы не имеете права распарсить авто.ру и хранить у себя всех автовладельцев, например.
2. Почему соцсети и сайты поиска работы вы отнесли к источикам общедоступных сведений? Вряд ли в их соглашениях с пользователем есть пункт о том, что после публикации имени и телефона кто угодно в мире имеет право воспользоваться ими для любых целей. Вы не имеете права распарсить авто.ру и хранить у себя всех автовладельцев, например.
Как быстро в статье ушли от определения информации, относящейся к физлицу к термину идентификация физлица.
Потому что первое следует из второго, а не наоборот.
Почему соцсети и сайты поиска работы вы отнесли к источикам общедоступных сведений? Вряд ли в их соглашениях с пользователем есть пункт о том, что после публикации имени и телефона кто угодно в мире имеет право воспользоваться ими для любых целей.
У них есть такая возможность. Если не включили соответствующее условие, их промах. Об этом статья.
Вы не имеете права распарсить авто.ру и хранить у себя всех автовладельцев, например.
Вы путаете режим общедоступных персональных данных со смежным правом изготовителя базы данных запрещать извлечение материалов из его базы данных и осуществлять их последующее использование.
UFO just landed and posted this here
Почему не будет считаться «обработкой»? В указанном пункте как раз идет речь об одном из оснований для обработки ПДн наряду с прямым согласием субъекта. В данном случае отдельное согласие не требуется и уведомлять РКН не требуется об обработке.
Если ИП вам не дает свой адрес, то легально вам его взять просто не от куда. Обязать предоставить адрес вы не можете. Просто договор не заключайте.
Если ИП вам не дает свой адрес, то легально вам его взять просто не от куда. Обязать предоставить адрес вы не можете. Просто договор не заключайте.
UFO just landed and posted this here
1) Как минимум необходимо уведомить об обработке ПДн. Сделать это можно путем размещения под формой заказа прямой ссылки на Политику конфиденциальности или Оферту на дистанционную продажу товара (второй способ слабее первого), которая должна содержать ссылку на Политику конфиденциальности.
Сделки на основе оферты на сайте интернет-магазина заключаются в письменной форме. Письменная форма считается соблюденной в случае, когда условия сделки изложены письменно, а не проговариваются устно.
Включение в СМС или имэйл не верно, т.к. уведомление должно предшествовать обработке.
2) Нужно, если данные цели выходят за рамки исполнения договора.
Сделки на основе оферты на сайте интернет-магазина заключаются в письменной форме. Письменная форма считается соблюденной в случае, когда условия сделки изложены письменно, а не проговариваются устно.
Включение в СМС или имэйл не верно, т.к. уведомление должно предшествовать обработке.
2) Нужно, если данные цели выходят за рамки исполнения договора.
UFO just landed and posted this here
По пункту 2
Хорошо но
21 Приказ ФСТЭК
ПП РФ 1199
Значит если Ваш довод:
Не верен, так как цели состав и действия должны быть определены договорными отношениями с искомым оператором.
Выводы
Не спешите хоронить считать себя оператором. Возможно, вы получили персональные данные для обработки от оператора, а не субъекта персональных данных.
Хорошо но
21 Приказ ФСТЭК
2. Безопасность персональных данных при их обработке в информационной системе персональных данных (далее — информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
ПП РФ 1199
3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее — уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Значит если Ваш довод:
Указанные лица не определяют «цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными», а потому не считаются операторами персональных данных.
Не верен, так как цели состав и действия должны быть определены договорными отношениями с искомым оператором.
Sign up to leave a comment.
5 мифов о персональных данных